SSH その5

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/13 04:14 / Filesize : 246 KB / Number-of Response : 982
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

SSH その5

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/20(木) 07:09:00 ]: SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
　Part1：pc.2ch.net/unix/kako/976/976497035.html
　Part2：pc.2ch.net/unix/kako/1028/10281/1028157825.html
　Part3：pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4：pc8.2ch.net/test/read.cgi/unix/1102242908/
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/24(月) 18:10:04 ]: >通信の通路はRSAで暗号化するのだから、

いや通信経路は RSA 使わないよ?
経路の暗号化は共通鍵方式。
いろいろとキホンを勉強してから個別資料のほうがいいと思うぞ
212 名前：209 mailto:sage [2006/07/25(火) 03:59:39 ]: >>210
公開鍵認証だったんですかー！ありがとうございました。
でもどっちも公開鍵認証なんなら
RSAAuthentication→PubkeyAuthentication1
PubkeyAuthentication→PubkeyAuthentication2
みたいにしてくれれば分かりやすいのに。"RSAを使ったAuthentication"は他にもいろいろあるのだし・・・
歴史の流れでそうなってるってことでしょうかね？

>>211
通信コストを下げるために公開鍵暗号は最初の認証のみで、後は共通鍵みたいですね。知らなかった
でも、使う共通鍵はホストとクライアントどちらのものなんでしょうか？
213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 06:16:42 ]: sshでサーバに繋ぐときに、GlobalKnownHostsFile(/etc/ssh/ssh_known_hosts)で
許可していないホストを、勝手にユーザの~/.ssh/known_hostsにそのホスト認証鍵を
追加させたくないのですが、どうすればいいでしょうか。
とりあえず、/etc/ssh/ssh_configに
StrictHostKeyChecking yes
としておけば、未知のホストに接続した場合のfingerprintを聞いてこないので、抑止
にはなるかと思うのですが、ユーザが
% ssh -o StrictHostKeyChecking=no remote-address
とした場合、ssh_configの設定が上書きされるので、どうしたものかと思っています。
何か良い方法がありますでしょうか。

sshd_configの場合、IgnoreUserKnownHostsオプションがあるので良いのですが。。。

環境は、FreeBSD 5.3R OpenSSH_3.8.1p1です。
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:14:08 ]: >>213
なんでそんなことしたいんだろう。
ファイアウォールで閉じるとかじゃだめなん?
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:52:24 ]: 理由はわからないが、ソースが公開されているのだから、修正して
そのオプションを削れば済むこと。
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:53:21 ]: ~/.ssh/known_hosts をルート所有のリードオンリーにする。
217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 10:58:11 ]: >>216
それじゃファイル消して新しく作られて終わりじゃね?
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 11:12:53 ]: >>215
自力でコンパイルされたら終わりじゃね?
219 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/25(火) 11:27:05 ]: 結局ファイアヲールで防ぐしかないんじゃね？
220 名前：213 mailto:sage [2006/07/25(火) 12:41:59 ]: >>214-219
サンクス。
ファイアウォールで制限する事にしました。妙な方向に考えていたようです。
そもそもの理由は、sshのクライアントとサーバ間でホスト認証＆相互認証を
しようとして、sshd側は、クライアントのホスト公開鍵を/etc/ssh/ssh_known_hostsに
設定し、sshd_configのIgnoreUserKnownHosts,IgnoreRhostsの設定でユーザが故意・事故で
~/.ssh/に変なクライアントからの接続の許可を無視できればＯＫと考えた。
でも、ssh側は、/etc/ssh/ssh_known_hostsにサーバのホスト公開鍵を設定しても、
ユーザの設定（コマンドラインの-o指定や~/.ssh/config）で上書きされてしまったら、
意味がないかな？と思っていた次第です。
（たとえば、鍵指紋を何も考えずにEnter押すようなユーザや、サーバホスト鍵が変更されてる
というワーニングがでたら~/.ssh/known_hostsの該当部分を削除してしまうようなユーザを制限
できたらと考えていたのですが。）

>>216
ちなみに該当ファイルをReadOnlyにしても接続時に「ファイルに書き込むのに失敗した」という
旨のエラーがでるだけで接続自体は行うようです。
221 名前：206 mailto:sage [2006/07/25(火) 15:30:42 ]: >206 のように書きましたが、AllowUsers で
login できるアカウントを制限していたためか
root やら admin やらでアタックを試しているうちは
"login の認証失敗" まで行かないことになって
MaxStartups の縛りが全然発動しないっぽいです… orz

だだだーとアカウントスキャンをかけてくる台・韓の
script kiddy のせいで /var/log/authlog がすげーバッチイまんまですた
(アドレス毎に 10-20行位で収まるようになるのかと思ったのに)

>207
確かに出張時に使う(接続元アドレスバラバラ)、のは私だけなので
port 22 は特定アドレスからの接続だけに限定して
一般の接続用としてはそれもアリかもしれないですね。
222 名前：名無しさん＠お腹いっぱい。 [2006/07/26(水) 21:24:46 ]: sshポートフォワーディングを用いてftpを使いたいのですが、
ffftpで「接続しました。　接続できません。」となってしまいます。

・sshによるパスワード認証ログイン、通常のftpによるログインは可能
・PuTTY0.58-jp20050503でトンネル部分を設定
→L8021 ********.jp:21(左が源ポート、右が送り先）
・ffftpはポート8021、接続先localhost、PASV、FWなしに設定
・サーバはSolaris10、クライアントはWin。
・OpenSSH（Solaris10バンドル）使用。
→Sun_SSH_1.1、SSH プロトコル 1.5/2.0、OpenSSL
・ttp://cl.pocari.org/2006-05-18-1.htmlを見て、
　AllowTcpForwarding yesにしてみました。

アドバイスあれば、よろしくお願いいたします。
223 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/26(水) 22:19:25 ]: 出来たら感動ものである
224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/26(水) 22:25:28 ]: ぐぐればすぐに
225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/27(木) 17:42:20 ]: RMSを見ならって~を777にしたらログインできなくなりますた。
どうしたらいいですか。
226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/27(木) 18:18:27 ]: RMSを見習って気に入らない動作はすぐに修整しましょう。
227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/27(木) 23:38:47 ]: hurd だとどうなるんでしょ :-)
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/31(月) 22:42:07 ]: winscpでwin→linuxへファイルを送るとき、送り終わった後に「ファイル・フォルダ '4>2↑?' はありません」といちいちプロンプトが出ます。
ファイルのパスに日本語が含まれるときに出るようですが、これを回避する方法ないですか？

ｽﾚ違いな気もしますが同じssh系ということで、お願いします
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/07/31(月) 23:01:19 ]: スレ違いなら回答するけど板違いなのでどっか行け。
230 名前：228 mailto:sage [2006/07/31(月) 23:48:21 ]: win板の質問スレだとごちゃごちゃしてるし、winscp使ってる人の割合も少ないと思ったもので
即レスするくらいなら答えてくれてもいいのに…
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/01(火) 00:12:21 ]: 回避する方法はある。
これでいいか?
232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/01(火) 07:29:56 ]: パスに日本語が含まれないようにすればいい。
それか、comannderモードつかってexplorerとかからドロップしない。
233 名前：228 mailto:sage [2006/08/01(火) 13:06:59 ]: >>232
レスｊどうもです
デスクトップとかからのドラッグドロップをよくやるもんで
いろいろ試しましたが、やはり無理なようですね。この件は諦めることにします
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:14:41 ]: PuttyだとつながるのにPoderosaだとつながらない、という現象が起きて困っています
どなたか解決策お願いします

以下、Poderosaの出力ログです（プロトコルはSSH2、認証方法は「パスワード」です）

[SSH:192.168.123.162] Received: SSH-2.0-OpenSSH_4.2
[SSH:192.168.123.162] Transmitted: SSH-2.0-Granados-2.0
[SSH:192.168.123.162] Transmitted: kex_algorithm=diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-dss,ssh-rsa; encryption_algorithms_client_to_server=aes128-cbc,blowfish-cbc,3des-cbc;
encryption_algorithms_server_to_client=aes128-cbc,blowfish-cbc,3des-cbc; mac_algorithms_client_to_server=hmac-sha1; mac_algorithms_server_to_client=hmac-sha1
[SSH:192.168.123.162] Received: kex_algorithm=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1; server_host_key_algorithms=ssh-rsa,ssh-dss;
encryption_algorithms_client_to_server=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr;
encryption_algorithms_server_to_client=aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr;
mac_algorithms_client_to_server=hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; mac_algorithms_server_to_client=hmac-md5,hmac-sha1,hmac-ripemd160,
hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96; comression_algorithms_client_to_server=none,zlib@openssh.com; comression_algorithms_server_to_client=none,zlib@openssh.com
[SSH:192.168.123.162] Transmitted:
[SSH:192.168.123.162] Received: verifying host key
[SSH:192.168.123.162] Received: the keys are refreshed
[SSH:192.168.123.162] Transmitted: ssh-userauth
[SSH:192.168.123.162] Transmitted: starting password authentication
[SSH:192.168.123.162] Received: user authentication failed:publickey,keyboard-interactive
235 名前：名無しさん＠お腹いっぱい。 [2006/08/06(日) 14:16:56 ]: 失礼、あげておきます
236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:35:41 ]: 元 Vera 使いだけど、キーボードインタラクティブの有効無効とか無いの？
237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:48:32 ]: KeyboardInteractiveも可能なのですがPassword入力後無反応になってしまいます
（イベントログもpassword入力後出力無し）

なんか情報小出しですみません
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 14:59:40 ]: 板違いだと思うんだが。
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/06(日) 17:20:34 ]: SSH の問題ならここでもいいと思うけどよくわからんな
一応貼っとくか

Poderosa使ってる奴いる？
pc8.2ch.net/test/read.cgi/mysv/1137596282/
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/07(月) 14:49:47 ]: keyboard-interactive認証とpassword認証の違いって何ですか？

ググったら↓を見つけましたが、これで合ってるんですか？
ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509
＜以下、引用＞
keyboard-interactiveはサーバが直接仮想端末を制御して、パスワードを読み込むのに対して、
passwordはクライアント側が任意の方法でパスワードを読み込んでサーバに渡すらしい。
普通に端末から使う分にはあまり違いを意識することはないと思うが、sshを実行したプログラムが
(仮想)端末を持たない場合(Eclipseからssh経由でcvsを使う場合など)はpassword認証だと
SSH_ASKPASS が使えるという違いがある。というか、多分違うのはこれくらい。
241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/07(月) 23:26:46 ]: >>240
> keyboard-interactive認証とpassword認証の違いって何ですか？

password認証ってのはRFC4252の8章で定義されているやつで、
ぶっちゃけて言えば、ただ一回だけClientからServer宛てに
パスワード入りのパケットを投げつけて認証の成否を決めるやり方だ。
ttp://www.ietf.org/rfc/rfc4252.txt

対するkeyboard-interactive認証はRFC4256で定義されていて、
認証できるまでClientとServerの間で任意の回数・任意の個数の
メッセージをやりとりできる方法だ。
PAMのように複雑な状態遷移を持つ認証方法をssh上で行うことができるように、
password認証を拡張した方法ってことになる。
ttp://www.ietf.org/rfc/rfc4256.txt

> ググったら↓を見つけましたが、これで合ってるんですか？
> ttp://www.ss.ics.tut.ac.jp/oda/diary/?date=200509

なんじゃそりゃ。
そんな無茶苦茶な説明なんか参考にしないで、RFC読め。
242 名前：240 mailto:sage [2006/08/08(火) 19:14:33 ]: >>241
＞なんじゃそりゃ。
＞そんな無茶苦茶な説明なんか参考にしないで、RFC読め。
おお、やはりガセでしたか。
本家（特に英語の）の説明を読むのはどうも億劫で、ついググって分かりやすく解説してるサイトを探しがちで…
やはりこういうのは公式のを読まなきゃだめっすね。猛省します。
ありがとうございました。
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/11(金) 00:15:14 ]: 質問です。
【環境】
クライアント putty <==> FW <==> サーバ openSSH3.9 鍵認証方式

sshdの待機ポートをわけあって2つ(22, HOGE)にしたいと思っています。
そこでsshd_config内に
---------------------------------------
Port 22
Port HOGE
---------------------------------------
を追加し、sshdの再起動を行いました。
クライアントから接続すると、22番では接続可能なのですが、HOGEでは接続出来ません。
サーバのパケットダンプ(tcpdump tcp port HOGE -n)を見ると、サーバには届いているように見受けられます。
しかしputtyのログをみると、サーバには届いていて、sshdのバージョン情報？までは取れているのにもかかわらず、認証手続きが始まらない状態です。
サーバ側で"netstat -pln"、"nmap サーバのIP"等で確認しましたが、22：HOGEポートはLISTEN状態でした。
サーバ側の"/var/log/secure"、"/var/log/message"等には何も出力されていませんでした。
FWのポートが開いている事は確認済みです。
現在手元に環境が無いので詳細を書くことは出来ませんが、どなたか原因がわかる方はいらっしゃらないでしょうか？
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/08/30(水) 03:02:29 ]: global-IPからは鍵認証
local-IPからは鍵もしくはパスワード認証

ってのをやろうとしたら、やっぱりsshd二つ動かすのが近道になっちまう？
245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/02(土) 00:31:32 ]: fall back to password でいいんじゃないの?

あるいは、-o PasswordAuthentication とか。
246 名前：名無しさん@お腹いっぱい [2006/09/03(日) 15:23:29 ]: 4.4p1そろそろみたいね。
春山さんのところに出てた話で、予定されてる追加機能("Match"命令)興味あるなぁ。
パッチ当てずにchroot出来るならその方が良いんだが、どうなんだろう?
ちょっぴり期待
247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/10(日) 01:01:57 ]: 　　　　　　　　　　　　　　　＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　　|
　　　　　　　　ﾄﾞｺﾄﾞｺ　　＜　新バージョン4.4(p1)まだーーーーーーーー！！？　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　＿　＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（･∀･ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓　||　　　♪
　　　　　　　 .／|＼人＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

（※出典：ttp://dokoaa.com/mada-.html）
248 名前：名無しさん@お腹いっぱい [2006/09/10(日) 09:08:41 ]: >247
ﾄﾞﾗﾑうまいねぇ
249 名前：名無しさん＠お腹いっぱい。 mailto:age [2006/09/18(月) 05:14:30 ]: 社内に設置してあるサーバーの管理を任されたのですが
社員が数人、外部からSSHで接続することもあり
動的IPの人もいるのでIP制限をするわけでもなく
IDとパスワードさえあれば、どこからでも入れてしまいます。

一週間ログを取ってみたら毎日、辞書アタックや
ブルートフォースを食らっているのでiptablesで何らかの対応するか
公開鍵認証にしたほうがいいと上司に提案したのですが
それくらいのアタックなら大丈夫と言われました。

いくら乗っ取られる確率が低いといっても
いつ当たりを引くかわからないと思うのですが
僕が間違ってるのでしょうか

ちなみに顧客の個人情報を扱ってるサーバーです･･･
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 07:29:07 ]: 上司を張った押してでも、セキュアな設定をしてしまえ
251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 07:43:47 ]: > それくらいのアタックなら大丈夫と言われました。
しらばっくれる可能性大なので、大丈夫と判断した根拠を文書で
貰っときましょう。
252 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 07:48:21 ]: >それくらいのアタックなら大丈夫と言われました。
興味があるんで、その上司の歳と簡単な経歴が知りたい
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 09:52:47 ]: >>249
そういうやりとりはメールでやって、証拠を残しとくもんだ。
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 13:48:34 ]: 上司の言質を取った上で、アタックで侵入されたログをでっち上げるべし。
責任はすべて上司へ。（管理職は責任をとるためにいる）
255 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 14:05:27 ]: >>250
それも有りなんですが
勝手に設定を変えて作業報告すらしてくれない人なので･･･
何度か不具合を起こしてサービス不能な状態になりました

>>251 >>253
文書を残すのは大事ですよね
メールもロクに投げてくれないような会社なので
自分だけはしっかりやっておこうと思います

>>252
30歳くらいでサーバーの実務経験は長いようです
自分の方が若い上に実務経験があまりないので
あまり意見を聞いてもらえません

>>254
危険性を認識させる必要はありますね･･･
大丈夫だと思っていても
実際に事故が起きて後悔する人って多いですからね
256 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 17:33:54 ]: 弱いパスワードのユーザをしらべておくくらいのことはしておいたほうが
257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 17:47:08 ]: sshでやられたケースって、
安易なユーザ名＋安易なパスワードが9割以上じゃないのか？

最近のsshへの総当りって、辞書使って攻撃して、辞書が尽きたら諦める
つまり、辞書でヒットしなかったら、ヒットする他のサイト探した方が速いって考え方なんで、
ユーザ名もパスワードも記号の羅列になっているような物はまず侵入されない。

まぁ、漏れの所は、日本以外弾いて、更に、一度攻撃してきたところはネットワーク毎弾いてるけど。
258 名前：名無しさん＠お腹いっぱい。 [2006/09/18(月) 17:49:02 ]: sshでログインするユーザーは数名というなら、それだけを許可する設定に変えると良い。
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 18:16:17 ]: >>256
それを上司や経営者に断りなくやってクビになった人が居るお
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/18(月) 18:18:34 ]: ともかく上司がそういう方針なら仕方ない。
証拠を集めて説得する事が出来ればいいが、たいていは無駄。
もっと上の人間に直訴するか辞めるか。辞めるなら求人難の今だと思うがな。
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/20(水) 21:01:22 ]: >>260
今は求人難なの？
262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/20(水) 22:33:13 ]: 募集をしても人が来ない。コンビニでさえ人手不足。
年収1000万以上の技術者になると、恐らく言い値で雇ってもらえる。

即戦力じゃなくても再教育して使えるならOK、雇ってしまえ　という所さえある。

いろいろな意味で淘汰されるな。
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/20(水) 23:31:45 ]: >>262
へー
年収1000万以上の技術職なんて紹介して欲しいぐらいだけど
264 名前：not 262 mailto:sage [2006/09/20(水) 23:38:50 ]: 年収1000万以上の技術職ってザラに居るよ。オレもそうだし、、
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 20:54:44 ]: sshでの接続は特定の際とからしか許可していないのに、しつこく
接続しようとする馬鹿ものがいる。例えば 221.141.3.52 とか、
221.224.8.88 とか。こういう奴らは何を考えているのだろうか？
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 21:05:37 ]: CN, China とか KR, Korea, Republic of とか
267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 21:09:41 ]: >>265
す～ぱ～はか～に狙われた（(；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 22:59:27 ]: iptablesなどでアドレス範囲まとめてポアしる
チョン・シナのアドレスをリストしてるとこはググれば見つかる
269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 23:09:09 ]: 三国人フィルタでぐぐれ
270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 23:45:29 ]: だから特定のサイトからしか接続できないのよ。
当然、中国や韓国などからは接続拒否しているよ。
それにも関わらず、接続を試みようとするのはどういう
馬鹿ものなのかという質問なのだが。
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 23:50:18 ]: 何を考えてるのかって言われても、
何も考えずスクリプト回してるだけっしょ。
272 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 23:55:18 ]: スクリプト回すというか、そのホストがbot化され、
クラッカーにいいように使われてるだけだろうな
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/21(木) 23:59:11 ]: 自分が意図しない不要な接続だと思ったらとっととDENYしちゃえばいいのに
それにも関わらず、２ｃｈでその意図を聞こうとするのはどういう
馬鹿ものなのか
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 00:01:32 ]: www.dayomon.net/fw/iptables.txt
275 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 00:07:54 ]: >>274
だよもんｷﾀｰ、だよもん
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 02:35:51 ]: >>270
アタックかけてる側は、接続拒否されてるかどうかなんて分かんないし。
馬鹿？
277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 07:13:39 ]: PasswordAuthentication no なら問題なし
278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 07:19:54 ]: 接続拒否と接続無視は違うのだが。

もちろん、PasswordAuthentication noだし、AllowUsersも
設定している。
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 08:03:18 ]: これ以上何が聞きたいんだか
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 09:38:48 ]: そんなことはどうでもいいから、接続元IPによってconfig切り替えれる機能付けてくれよ

bindみたいに書けると完璧
281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 09:58:29 ]: ローカルネットワークからはパスワード
それ以外からは公開鍵認証にしたいのですが
どうすればできますか？
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 10:09:25 ]: ローカルアドレスとそれ以外のアドレスでlistenする複数のsshdを起動しとけばよい。
283 名前：名無しさん＠お腹いっぱい。 [2006/09/22(金) 11:01:15 ]: ちょっと質問があります。

まず、前提条件として、以下の点について質問させてください。
パスワード認証を使わず、公開鍵認証で接続を行う場合、
クライアント側に秘密鍵を置く必要がありますよね。

その上で質問です。接続するクライアントA、サーバーとBとCがあった場合、

　クライアントA → サーバーB → サーバーC

と言ったように、多段に接続したいのですが、
（サーバーBには直接接続できない）

・秘密鍵をクライアントAにだけおき、サーバーBにおきたくない
・できるだけ簡単に接続する方法はないか

といったようなことはできますでしょうか？
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 11:28:29 ]: >>283
ssh-agentのフォワード機能で普通にできる。
設定によっては ssh -A のオプションが必要。
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 11:37:55 ]: 置かないというのはできる。
ssh(1)
-A Enables forwarding of the authentication agent connection. This
can also be specified on a per-host basis in a configuration
file.
Agent forwarding should be enabled with caution. Users with the
ability to bypass file permissions on the remote host (for the
agent's Unix-domain socket) can access the local agent through
the forwarded connection. An attacker cannot obtain key material
from the agent, however they can perform operations on the keys
that enable them to authenticate using the identities loaded into
the agent.
しかし、Bの特権を持っている人は秘密鍵を使うことは出来る(秘密鍵本体は盗めない)。
俺は、秘密鍵を使う時はポップアップで確認するようputtyのpagent(authentication
agent)を改造してつかっている。
286 名前：283 [2006/09/22(金) 11:41:06 ]: ＞（サーバーBには直接接続できない）
ごめん違った
　（サーバーCには直接接続できない）
でした
287 名前：283 [2006/09/22(金) 14:32:59 ]: 調べたら、いろいろでてきました。

cl.pocari.org - connect を使って簡単に多段 SSH を実現する方法
cl.pocari.org/2006-09-04-2.html
connect.cを使う方法

cl.pocari.org - SSH で多段接続？
cl.pocari.org/2004-12-19-1.html
ssh-agentを使う方法

cl.pocari.org - SSH でポートフォワード
cl.pocari.org/2005-01-24-2.html
wakaran

どれが簡単な方法か、試してみようと思います。
-A使う方法がいまいちわかりませんが、また調べてみます
288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 14:44:27 ]: >>287
せっかく回答もらってるのにそれは無視かい?
余計なこと調べなくていい。
ssh-agent 実行済みで、ふつうに ssh hostB ができる状態で、
ssh -A hostB するだけ。
で、hostB において ssh hostC すればそのまま入れる。
それだけ。
289 名前：283 mailto:sage [2006/09/22(金) 15:57:33 ]: >>288
ごめんなさい。
そっちでやってみます。
290 名前：283 mailto:sage [2006/09/22(金) 16:54:14 ]: $ ssh-agent bash
$ ssh -A (hostB) -i (hostCの秘密鍵)
パスフレーズ入力
hostBのパスワード入力

hostBで、
$ ssh hostC
Permission denied (publickey).
と言われました？
んんん。
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 16:59:37 ]: >>290
おまえ、ssh-agent自体の使い方知らんのちゃうか?

$ ssh-agent bash
$ ssh-add
(パスフレーズ入力)

$ ssh -A hostB

hostB$ ssh hostC

hostC$

↑これだけだよ。
292 名前：283 [2006/09/22(金) 17:05:15 ]: >>291
いけました！

$ eval `ssh-agent`
$ ssh-add (hostCの秘密鍵)
(パスフレーズ入力)
$ ssh -A hostB

hostB $ ssh hostC

で、おｋですね。

ssh-agentで、秘密鍵を覚えさせとかないといけないんですね

つきあっていただいて、ありがとうございました。
293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 18:34:25 ]: 3段活用できませんかね
host1 -> host2 -> host3 -> host4
を1発でログインできたりといった感じで…
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 20:51:50 ]: ssh -A host2 ssh -A host3 ssh host4
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 20:58:22 ]: >>294
やってみればわかるけど、それだと「無端末」状態になるので、
シェルのプロンプトは出ないし、viとか画面制御系コマンドが起動できないし、
とにかく、普通にsshで直接ログインしたのとは違う状態になるよ。
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 21:09:44 ]: んなら
ssh -A -t host2 ssh -A -t host3 ssh -t host4
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/22(金) 23:48:27 ]: 多段sshを一発でやる方法があったのか

いいこと知った
298 名前：283 [2006/09/22(金) 23:56:45 ]: わおｗ

> $ ssh -A hostB
> hostB $ ssh hostC
これは、

$ ssh -A -t hostB ssh -t hostC

でいけるんですね。
すげｗ
evalとこもshellにでもしたらもっと楽になるな
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:01:40 ]: 多段でscpしようとおもったらどうすれば？
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:08:37 ]: がんばりなさい
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:23:32 ]: ssh -A host2 ssh -A host3 ssh host4 tar cf - hoge| tar -vf -
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 00:35:13 ]: >>301
tar -v ??

あと、tarはscpじゃないし。
303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 01:31:30 ]: > 299

scp -oProxyCommand='ssh hostA netcat hostB 22' file hostB:

なんて、どう？
304 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/23(土) 01:34:53 ]: 昔、多段sftpやろうとしたらcore吐いて落ちた
305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/24(日) 16:25:59 ]: sshdに対するアタックを減らすために、ポート番号を22以外に変更したいのですが、
どこで設定すればよいのでしょうか？
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/24(日) 16:28:25 ]: >>305
sshd_configに記述、または sshdの起動スクリプトで sshd -p オプションで指定。
307 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:31:28 ]: 鍵+パスフレーズを利用してsshを利用しているのですが、
ログインに時間がかかります。
12、13秒ほどかかります。

これって、こういうものですか？

鍵は、DSA 768bitです。
パスフレーズは、8文字程度です。
308 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:32:54 ]: すいません、マシンのスペック書き忘れました。

ローカルホスト： PentiumD 3GHz、メモリ 2GB
リモートホスト： Celeron(R) 2.53GHz、メモリ 512MB

です。
309 名前：名無しさん＠お腹いっぱい。 [2006/09/25(月) 07:34:40 ]: 一応、sshのバージョンも
ローカルホスト：ssh cygwin OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
リモートホスト：sshd OpenSSH_4.2p1 Debian-7ubuntu3, OpenSSL 0.9.8a 11 Oct 2005
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 08:01:03 ]: >>307
DNS まわりじゃないの？
サーバ側でクライアントの IP アドレスを逆引きできないとか。
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/09/25(月) 08:38:01 ]: 本当にDNS逆引きが原因だった場合は、
↓を読んで、環境を晒してしまったことを後悔しましょう。
pc8.2ch.net/test/read.cgi/unix/1159025791/13

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef